As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar funções vinculadas ao serviço do AWS CloudTrail
O AWS CloudTrail usa funções vinculadas a serviços do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao CloudTrail. Os perfis vinculados a serviços são predefinidos pelo CloudTrail e incluem todas as permissões que o serviço requer para chamar outros Serviços da AWS em seu nome.
Uma função vinculada ao serviço facilita a configuração do CloudTrail porque você não precisa adicionar as permissões necessárias manualmente. O CloudTrail define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o CloudTrail pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões de função vinculada a serviço para o CloudTrail
O CloudTrail usa o perfil vinculado ao serviço chamado AWSServiceRoleForCloudTrail. Esse perfil vinculado ao serviço é usado para oferecer suporte às trilhas e aos armazenamentos de dados de eventos da organização.
A função vinculada ao serviço AWSServiceRoleForCloudTrail confia nos seguintes serviços para assumir a função:
-
cloudtrail.amazonaws.com
Esse perfil é usado para oferecer suporte à criação e ao gerenciamento de trilhas de organização do CloudTrail e armazenamentos de dados de eventos de organização do CloudTrail Lake no CloudTrail. Para ter mais informações, consulte Criar uma trilha para uma organização.
A política CloudTrailServiceRolePolicy anexada ao perfil permite que o CloudTrail realize as seguintes ações nos recursos especificados:
-
Ações em todos os recursos do CloudTrail:
-
All
-
-
Ações em todos os recursos do AWS Organizations:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization
-
-
Ações em todos os recursos do Organizations para a entidade principal de serviço do CloudTrail para listar os administradores delegados da organização:
-
organizations:ListDelegatedAdministrators
-
-
Ações para desabilitar a federação do Lake em um armazenamento de dados de eventos da organização:
-
glue:DeleteTable -
lakeformation:DeRegisterResource
-
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.
Criar uma função vinculada a serviço para o CloudTrail
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma trilha ou um armazenamento de dados de eventos da organização ou adiciona um administrador delegado ao console do CloudTrail ou usa a AWS CLI ou a operação da API, o CloudTrail cria o perfil vinculado ao serviço para você, caso ele ainda não exista.
Se você excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, poderá usar esse mesmo processo para recriar o perfil na sua conta. Quando você cria uma trilha ou um armazenamento de dados de eventos da organização ou adiciona um administrador delegado, o CloudTrail cria o perfil vinculado ao serviço para você.
Editar uma função vinculada a serviço para o CloudTrail
O CloudTrail não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForCloudTrail. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluir uma função vinculada a serviço para o CloudTrail
Não é necessário excluir manualmente a função AWSServiceRoleForCloudTrail. Se uma Conta da AWS for removida de uma organização do Organizations, o perfil AWSServiceRoleForCloudTrail será removido automaticamente dessa Conta da AWS. Não é possível desanexar ou remover políticas do perfil vinculado ao serviço AWSServiceRoleForCloudTrail em uma conta de gerenciamento da organização sem remover a conta da organização.
Também é possível usar o console do IAM, a AWS CLI ou a API da AWS para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.
nota
Se o serviço do CloudTrail estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para remover um recurso usado pela função AWSServiceRoleForCloudTrail, você pode executar uma das seguintes ações:
-
Remova a Conta da AWS da organização no Organizations.
-
Atualize a trilha para que não seja mais uma trilha de organização. Para ter mais informações, consulte Atualizando uma trilha com o CloudTrail console.
-
Atualize o armazenamento de dados de eventos para que ele não seja mais um armazenamento de dados de eventos da organização. Para ter mais informações, consulte Atualizar um armazenamento de dados de eventos com o console.
-
Exclua a trilha. Para ter mais informações, consulte Excluir uma trilha com o console do CloudTrail.
-
Excluir um armazenamento de dados de eventos. Para ter mais informações, consulte Excluir um armazenamento de dados de eventos com o console.
Como excluir manualmente o perfil vinculado a serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForCloudTrail. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Regiões compatíveis com perfis vinculados ao serviço do CloudTrail
O CloudTrail oferece suporte a perfis vinculados ao serviço em todas as Regiões da AWS em que o CloudTrail e o Organizations estão disponíveis. Para obter mais informações, consulte AWS service (Serviço da AWS) endpoints na Referência geral da AWS.
